LfDI-Newsletter Nr. 1 - 2021

Liebe Leserinnen und Leser,

dieses Jahr 2021 wird ein Jahr zwischen Hoffen und Bangen, zwischen Warten und Anpacken. Wann wir die Corona-Pandemie im Griff haben, kann man heute noch nicht sagen. Gewiss ist allerdings, dass im Jahr 2021 viele Datenschutz-Debatten und Entscheidungen auf uns zukommen werden.

Ein Beispiel ist das Brexit-Abkommen, welches eine viermonatige Übergangsfrist ab dem 1. Januar 2021 für Datentransfers vorsieht, die wiederum um zwei Monate verlängert werden kann. Es wird also spannend, mit welchem Schutz ab dann eine Übermittlung personenbezogener Daten in das Vereinigte Königreich möglich sein wird.

Mich stimmt frohen Mutes, dass sich die EU und Großbritannien kurz vor dem Jahreswechsel bezüglich der Datenübermittlungen vorübergehend geeinigt haben (siehe PM des LfDI RLP vom 29.12.2020). Gravierende Erschwernisse für betroffene Unternehmen werden zunächst vermieden. Für die Unternehmen gilt es aber schon jetzt, sich auf ein Ende der Übergangszeit vorzubereiten, um Geschäftsprozesse gegebenenfalls anzupassen. Die EU-Kommission steht jetzt in der Pflicht, zeitnah tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen.

Wie der Brexit zeigt, werden wir 2021 sehr wachsam sein müssen. Es wird darum gehen, in außerordentlichen Zeiten Datenschutzentwicklungen genau zu verfolgen. Gern helfen wir vom LfDI Ihnen dabei. Zunächst wünsche ich Ihnen aber einen guten Start ins neue Jahr.

Bleiben Sie gesund!

Ihr Professor Dr. Dieter Kugelmann

Inhaltsverzeichnis

I. „Der Weg zur Information“: Veranstaltungsreihe des LfDI

II. Mainzer Vorträge: Epidemiebekämpfung als Risikovorsorge

III. Datenschutz wird bei Corona-Impfungen gewahrt

IV. Online-Seminare zu Fragen des Schuldatenschutzes

V. Debatte über Videokonferenzsysteme an Schulen

VI. Gesprächsaufzeichnungen in Callcentern

VII. Souveränität der Versicherten bei der elektronischen Patientenakte bewahren und Gesundheitsdaten konsequent schützen

VIII. Bundesverfassungsgericht begrenzt „Data Mining“ zur Terrorismusbekämpfung

IX. Datenschutzsprechstunden von Abgeordneten mit Dieter Kugelmann

X. LfDI RLP bringt Comic raus

XI. Welches digitale Spielzeug kann guten Gewissens verschenkt werden?

Veranstaltungsreihe / Informationsfreiheit

I. „Der Weg zur Information“: Die Möglichkeiten zum Informationszugang mithilfe des Landestransparenzgesetzes

Welche Informationen kann ich beantragen und bei welcher Behörde? Wie stelle ich einen Antrag auf Informationszugang? Diese sowie weitere Fragen zum Thema Informationsfreiheitsantrag stehen im Mittelpunkt der Veranstaltungsreihe „Der Weg zur Information“. In insgesamt drei Veranstaltungen informiert der LfDI interessierte Bürgerinnen und Bürger über ihre Möglichkeiten, Informationsfreiheitsanträge zu stellen. Hierbei weist er auf mögliche Probleme und Fallstricke hin und zeigt Möglichkeiten auf, mit möglichst geringen Kosten zeitnah an die begehrten Informationen zu gelangen. Zwei Mitarbeiter des Landesbeauftragten erläutern zunächst die jeweilige Thematik durch einen Vortrag. Im Anschluss besteht die Möglichkeit des Erfahrungsaustauschs. Hierbei können gemeinsam Probleme bei der Antragstellung besprochen und Lösungswege aufgezeigt werden. Die Veranstaltungen finden in Form von Videokonferenzen statt und dauern jeweils drei Stunden. Eine Anmeldung ist hier möglich. Die Datenschutzhinweise finden Sie hier. Bei Rückfragen stehen Herr Müller (06131-208-2606) und Herr Mack (06131-208-2588) zur Verfügung.

Teil 1: Der Antrag auf Informationszugang

01.02.2021 09:00 - 12:00 Uhr

Der erste Teil ist dem Anspruch auf Informationszugang gewidmet, der durch Antrag geltend zu machen ist. Der LfDI erläutert, welche Information beantragt und bei welcher Behörde ein Informationsfreiheitsantrag gestellt werden kann. Anschließend werden die Mindestinhalte eines Informationszugangsantrags sowie die Wege der Antragstellung gemeinsam besprochen. Hierbei zeigt der LfDI anhand von mehreren Praxisbeispielen die Vor- und Nachteile der unterschiedlichen Möglichkeiten der Antragstellung auf.

Teil 2: Entgegenstehende Belange

08.02.2021 09:00 - 12:00 Uhr

Im zweiten Teil setzt sich der LfDI mit den entgegenstehenden Belangen auseinander, deren Bestehen zu der vollständigen oder teilweisen Versagung eines Informationszugangs führen kann. Hierbei werden die einzelnen entgegenstehenden öffentlichen Belange (z.B. nachteilige Auswirkungen auf die Vertraulichkeit von Beratungen) sowie Drittbelange (z.B. die Offenbarung von Betriebs- und Geschäftsgeheimnissen) besprochen. Der LfDI zeigt Möglichkeiten auf, durch eine zweckmäßige Antragstellung entgegenstehenden Belange auszuweichen.

Teil 3: Kosten und Rechtsschutz

15.02.2021 09:00 - 12:00 Uhr

Im letzten Teil der Veranstaltungsreihe widmet sich der LfDI den Themen Kosten und Rechtsschutz. Er zeigt auf, wie durch eine sinnvolle Antragstellung Verwaltungsaufwand reduziert und hierdurch Kosten gespart werden können. Gemeinsam wird besprochen, in welchem Umfang öffentliche Stellen bei Informationsfreiheitsanträgen Kosten erheben dürfen bzw. müssen und welche Amtshandlungen kostenfrei sind.

Mainzer Vorträge / Veranstaltung

II. Vortrag: Epidemiebekämpfung als Risikovorsorge

Im Rahmen der Veranstaltungsreihe „Mainzer Vorträge zum Sicherheits- und Informationsrecht“ laden wir Sie herzlich zu dem Vortrag „Epidemiebekämpfung als Risikovorsorge“ ein. Am Mittwoch, den 3. Februar 2021 um 17 Uhr, spricht Frau Dr. Andrea Kießling (Ruhr-Universität Bochum) virtuell über dieses Thema. Es schließt sich eine Diskussion an.

Das Infektionsschutzgesetz orientiert sich auch nach der letzten Änderung im November 2020 am Leitgedanken der Gefahrenabwehr: Auf konkrete, individuell feststellbare Gefahren soll punktuell reagiert werden. Die flächendeckenden Maßnahmen der Epidemiebekämpfung wie Ausgangsbeschränkungen, Mundschutzpflicht oder Kontaktverbote sind aber nicht der Gefahrenabwehr, sondern einer breiter angelegten Risikovorsorge zuzuordnen. Der Vortrag zeigt die konzeptionellen Grenzen des Infektionsschutzgesetzes auf und stellt alternative Regelungsmöglichkeiten vor.

Die Veranstaltung findet virtuell mithilfe des Webkonferenzsystems BigBlueButton (auf Servern der Johannes Gutenberg-Universität) statt. Die Teilnahme an der Veranstaltung ist kostenfrei, eine Voranmeldung ist notwendig. Interessierte melden sich bitte unter dem Betreff: „Mainzer Vortraege Kießling“ per E-Mail unter lsbaecker@uni-mainz.de an. Die E-Mail-Adresse wird nur genutzt, um Zugangsdaten zu verschicken.

Die „Mainzer Vorträge zum Sicherheits- und Informationsrecht“ sind eine gemeinsame Veranstaltungsreihe des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz und der Stiftungsprofessur für Öffentliches Recht und Informationsrecht, insbesondere Datenschutzrecht an der Johannes Gutenberg-Universität Mainz. Sie beleuchten aktuelle Fragen wie Grundsatzprobleme des Informationsrechts und des Rechts der öffentlichen Sicherheit.

Gesundheit / Corona

III. Datenschutz wird bei Corona-Impfungen gewahrt

Viele Menschen in Deutschland setzen große Hoffnungen auf die Impfungen gegen das Coronavirus. Dass dabei auch das informationelle Selbstbestimmungsrecht der Bürgerinnen und Bürger gewahrt werden muss, ist selbstverständlich. Beim Aufbau der Infrastruktur für die Impfungen durch das rheinland-pfälzische Gesundheitsministerium wurde die Expertise des LfDI genutzt, um den Schutz der Daten im Zusammenhang mit den freiwilligen Impfungen sicherzustellen. Dies zeigt einmal mehr, dass Datenschutz und Gesundheitsschutz Hand in Hand gehen.

Professor Dieter Kugelmann erklärt: "Das Organisieren und Durchführen hunderttausender Impfungen ist für alle betroffenen Stellen eine gewaltige Herausforderung. Neben den medizinischen und logistischen Fragen sind auch Datenschutz-Aspekte zu beachten. Es muss etwa sichergestellt sein, dass die Menschen, die sich impfen lassen wollen, jederzeit darüber informiert sind, welche Daten von ihnen im Rahmen der Impfung verarbeitet werden und was mit diesen Angaben passiert. Als Landesbehörde sind wir frühzeitig in den Aufbau der Impfstrukturen eingebunden worden. Unsere Anregungen, insbesondere hinsichtlich der Transparenz der Datenverarbeitung, wurden alle aufgegriffen. Nach derzeitigem Stand bin ich daher davon überzeugt, dass bei den anstehenden Impfungen der Datenschutz umfassend gewahrt wird. Wir werden als Datenschutzaufsichtsbehörde allerdings in den kommenden Monaten genau begleiten, ob dies auch der Fall ist. Den an den Impfungen beteiligten Akteuren stehe ich weiterhin zur Verfügung, falls es in diesem Zusammenhang konkreten Klärungsbedarf geben sollte."

Der LfDI hat in den vergangenen Wochen an der Erstellung der Datenschutz-Informationen nach Artikel 13 Datenschutz-Grundverordnung mitgewirkt, die die Personen erhalten, die geimpft werden wollen. In den Informationsschreiben wird etwa darüber aufgeklärt, welche Daten bei der Vereinbarung eines Impftermins und mit der Impfung erhoben und gespeichert werden. So werden beispielsweise personenbezogene Daten wie Name, Adresse, mögliche Kontraindikationen (z.B. eine Schwangerschaft oder chronische Erkrankungen) und Informationen zu Vorerkrankungen (z.B. zur Einnahme bestimmter Medikamente) erfasst. Auch wird in dem Informationsschreiben erläutert, welche Daten zur Impf-Dokumentation gespeichert und an wen sich Betroffene bei Datenschutzfragen wenden können.

Weitere Informationen: PM des LfDI RLP vom 21.12.2020

Bildung / Schulen

IV. Online-Seminare zu Fragen des Schuldatenschutzes

Im November und Dezember 2020 haben der LfDI und das Pädagogische Landesinstitut Rheinland-Pfalz (PL) gemeinsam mit dem Bildungsministerium sieben Online-Seminare für Lehrkräfte unter dem Titel „Schulischer Datenschutz in der Praxis - Was Sie schon immer fragen wollten“ durchgeführt. Die Fortbildungen hatten das Ziel, häufig aufkommende Fragen im schulischen Kontext – die sich gerade im vergangen Jahr mit der verstärkten Nutzung digitaler Lehr- und Lernangebote ergeben haben - zu beantworten. Insgesamt nahmen über 350 Lehrkräfte an den Seminaren teil. Ziel der teilnehmerorientierten Veranstaltungen war es, auf die wichtigsten Fragen der Lehrkräfte konkrete, praxisorientierte Antworten zu geben. Das Spektrum reichte von Fragen zur Funktion und Aufgaben schulischer Datenschutzbeauftragter bis hin zum Umgang mit außereuropäischen Online-Diensten nach dem EuGH-Urteil vom Sommer 2020. Der LfDI stellt die Fragen und Antworten zentral auf einer eigenen FAQ-Seite bereit.

Veranstaltung für angehende Lehrkräfte an der Johannes Gutenberg-Universität Mainz

Wie bereits in den vergangenen beiden Jahren hat der LfDI auch 2021 wieder die Einladung des Zentrums für Lehrerbildung an der Johannes Gutenberg-Universität Mainz angenommen und im Wege einer Videokonferenz unter dem Motto „Datenschutz meets Schule“ die Hauptzielgruppe der Lehramtsstudierenden, aber auch einige Seminarleitungen und Fachbereichsleitungen sowie andere Interessierte an die Materie des Datenschutzes in der Schule herangeführt. Neben einem allgemeinen Teil, der datenschutzrechtliches Grundwissen vermittelte, wurden unter anderem auch die Datenschutzvorschriften im Schulgesetz sowie der Einsatz digitaler Lehr- und Lernmittel im Unterricht besprochen.

Da sich für die Veranstaltung mehr Interessierte angemeldet hatten, als Kapazitäten vorhanden waren, wurde der Referententeil der Veranstaltung aufgezeichnet, sodass auch die diejenigen, die nicht berücksichtigt werden konnten, im Nachgang davon profitieren können.

Bildung / Schulen

V. Debatte über Videokonferenzsysteme an Schulen

In diesen Tagen ist erneut eine Debatte aufgeflammt, welche Videokonferenzsysteme in Schulen eingesetzt werden können und sollen. Hierzu erklärt der LfDI: Aus Datenschutz-Sicht hat die vom rheinland-pfälzischen Bildungsministerium empfohlene Lösung Big Blue Button (BBB), die bei der Johannes Gutenberg-Universität Mainz gehostet wird, große Vorzüge. Bei BBB handelt es sich um eine Open Source-Lösung, die es ermöglicht, sie unter vollständiger, eigener Kontrolle und auf eigenen Systemen zu betreiben. Die Übermittlung von Nutzungsdaten an Dritte oder deren Verwendung gar für Werbezwecke kann ausgeschlossen werden.

Bei der Nutzung von außereuropäischer Videokonferenzsoftware durch Schulen ergeben sich hingegen verschiedene datenschutzrechtliche Probleme. So lässt sich in der Regel eine Übermittlung von Telemetrie- und Nutzungsdaten nicht vermeiden; es ist also nicht auszuschließen, dass Daten darüber, wer von wo aus, wie lange, mit welchem Endgerät und auf welche Weise an einer Videokonferenz teilgenommen hat und welche IP-Adresse verwendet wurde, zweckwidrig verwendet werden.

Dieter Kugelmann sagt: „Aus datenschutzrechtlichen Gründen sollte daraufhin gearbeitet werden, dass mit Beginn des Schuljahrs 2021/2022 alle Schulen auf BBB zurückgreifen können. Angesichts der derzeitigen Ausnahmesituation und bestehender technischer Probleme ist es vertretbar, wenn im laufenden Schuljahr Schulen außereuropäische Videokonferenzsoftware verwenden, um dem Bildungsauftrag nachzukommen. Um den Schulen in der schwierigen Pandemie-Situation Möglichkeiten des Distanzunterrichts zu erhalten, werden, mit Blick auf den bis Schuljahresende zugesagten performanten Ausbau der Big Blue Button-Plattform, daher Bedenken hinsichtlich einer fortdauernden Nutzung durch Schulen von MS Teams und vergleichbaren Lösungen US-amerikanischer Anbieter vorerst zurückgestellt.“

Die vorübergehende Nutzung amerikanischer Videokonferenzsysteme ist hinnehmbar, wenn folgende Punkte beachtet werden:

- Bereits eingesetzte Lösungen US-amerikanischer Anbieter müssen auf schuleigenen Systemen betrieben werden, oder es müssen, bei Inanspruchnahme eines Dienstleisters im Rahmen einer Auftragsverarbeitung gemäß Artikel 28 Datenschutz-Grundverordnung, die Konferenzdaten auf Systemen deutscher oder europäischer Anbieter verarbeitet werden. Zudem müssen die Lösungen datensparsam konfiguriert und mit von der Schule vergebenen, pseudonymisierten Zugangsdaten genutzt werden. Es wird eine Verwendung der Nutzungsdaten für Werbezwecke vertraglich ausgeschlossen (§103 Übergreifende Schulordnung).

- Die Nutzerinnen und Nutzer müssen gemäß Artikel 13 DS-GVO informiert werden.

- Auf die in § 1 Abs. 6 Schulgesetz vorgesehene Möglichkeit, eine verbindliche Nutzung digitaler Lehr- und Lernmittel vorzusehen, wird verzichtet. Wenn Eltern, Schülerinnen oder Schüler einer Nutzung amerikanischer Softwareprodukte ausdrücklich widersprechen, werden äquivalente Lehrangebote zur Verfügung gestellt.

Weitere Hinweise:

- Orientierungshilfe Videokonferenzsysteme der Datenschutzkonferenz des Bundes und der Länder

- PM des LfDI RLP vom 6.1.2021

- PM des LfDI RLP vom 17.11.2020

Hotlines / Widerspruch

VI. Gesprächsaufzeichnungen in Callcentern

Der LfDI Rheinland-Pfalz hat erneut die Zulässigkeit von Gesprächsaufzeichnungen durch Callcenter bzw. Telefonhotlines im Hinblick auf die vor Beginn der Aufzeichnung zu erteilende Einverständniserklärung geprüft.

In vielen Fällen beginnt das Gespräch mit einer Versicherungshotline oder einem Auskunftscenter eines Unternehmens mit der Bandansage: „Dieses Gespräch kann zu Trainings- und Qualitätssicherungszwecken aufgezeichnet werden.“ Dem Anrufer bleibt hier nur die Wahl die Verarbeitung seiner personenbezogenen Daten stillschweigend zu dulden oder das Gespräch zu beenden und damit sein Anliegen zunächst nicht weiter verfolgen zu können. Im Einzelfall kann der Anrufer hierdurch einem starken Druck ausgesetzt werden, etwa in Reklamations- oder Inkassofällen, in denen Fristen laufen.

Diese Praxis steht aus Sicht des LfDI in klarem Widerspruch zu den Anforderungen der Datenschutz-Grundverordnung. Zwar kann eine Einwilligung in eine Datenverarbeitung auch konkludent erfolgen, bloßes Stillschweigen reicht hier jedoch nicht aus (Erwägungsgrund 32 zu Artikel 6 DS-GVO). Die Datenschutzkonferenz des Bundes und der Länder sowie der europäische Datenschutzausschuss fordern schon seit Langem in diesen Fällen eine eindeutig bestätigende Handlung, welche keinen Zweifel an der Zustimmung der betroffenen Person lässt. In diesem Sinne hat sich unlängst auch der Europäische Gerichtshof (Urteil vom 1.10.2019 – C-673/17) zur Frage der Nutzung von Cookies auf Web-Seiten gegen ein Opt-out Verfahren ausgesprochen. Diese Grundsätze müssen auch für die Fortsetzung von Telefongesprächen gelten. Darüber hinaus fehlt es bei dieser Form der Datenverarbeitung an einer umfassenden Information der betroffenen Personen und einer freiwilligen Entscheidung. Auch ist es kaum möglich, den Nachweis über die Einhaltung der Vorgaben des Art. 5 Abs. 1 DS-GVO zu führen.

In einem aktuellen Fall hat der LfDI wegen eines Verstoßes gegen die Einwilligungsvoraussetzungen eine Verwarnung ausgesprochen.

Weitere Informationen:

- DSK-Beschluss vom 23.03.2018 zur Aufzeichnung von Telefongesprächen

- Leitlinien der Artikel-29-Datenschutzgruppe in Bezug auf die Einwilligung gemäß Verordnung 2016/679

Krankenkassen / PDSG / DVPMG

VII. Souveränität der Versicherten bei der elektronischen Patientenakte bewahren und Gesundheitsdaten konsequent schützen

Die Bundesregierung forciert den zuvor jahrelang nur schleppend vorangekommenen Prozess der digitalen Transformation des deutschen Gesundheitswesens durch zahlreiche Gesetzgebungsvorhaben. Nachdem erst im Oktober 2020 das Patienten-Datenschutzgesetz (PDSG) in Kraft getreten ist, hat das Bundesgesundheitsministerium Mitte November bereits den nächsten Entwurf vorgelegt, diesmal für ein Gesetz zur digitalen Modernisierung von Versorgung und Pflege, kurz DVPMG genannt. Aus der Perspektive des Datenschutzes ist der digitale Umbau des Gesundheitssystems in Deutschland zu begrüßen, sofern auch in der digitalen Versorgung die Souveränität der Versicherten hinsichtlich der Verarbeitung ihrer Daten bewahrt und deren Schutz konsequent sichergestellt wird. Doch daran hapert es immer wieder, wie die zwei aktuellen Beispiele zeigen:

Bei der mit dem Patienten-Datenschutzgesetz zum Jahresanfang 2021 etablierten elektronischen Patientenakte wird den Versicherten ohne geeignetes Endgerät die Wahrnehmung der ihnen zustehenden Rechte in unzumutbarer Weise erschwert. Im Jahr 2021 besteht gar keine Möglichkeit, ohne eigenen PC, Handy oder Tablet in die Inhalte der eigenen Akte Einblick zu nehmen und Zugriffsrechte darauf zu steuern. Ab 2022 kann ein Vertreter benannt werden, über den dies dann möglich sein soll. Eine unmittelbare Rechteausübung ist zu keinem Zeitpunkt vorgesehen. „Damit werden Versicherten ihnen unmittelbar zustehende elementare Datenschutzrechte genommen. Mit der Aufstellung eigener Terminals bei den Krankenkassen oder anderen geeigneten Maßnahmen hätte man dies vermeiden können und müssen“, konstatiert Professor Dieter Kugelmann. „Die gesetzlichen Vorgaben missachten in grober Weise die den Versicherten zustehende Wahrnehmung ihres Grundrechts. Sollten sich Betroffene an mich wenden und Defizite bei der Ausübung ihrer Rechte geltend machen, werde ich von den meiner Aufsicht unterliegenden Krankenkassen verlangen, dass die Versicherten ihre Datenschutzrechte unmittelbar ausüben können.“

Auch in Bezug auf den neuesten Gesetzentwurf aus dem Bundesgesundheitsministerium sieht der Landesdatenschutzbeauftragte Verbesserungsbedarf. Mit dem Entwurf des DVPMG wird die Digitalisierung im Gesundheitswesen vertieft und auf den Bereich der Pflegeversicherung ausgeweitet. Doch es gibt deutliche Defizite: So sollen digitale Gesundheits- und Pflegeanwendungen unter anderem noch bis zum Jahr 2023 erstattungsfähig sein, wenn deren Datenschutz- und Sicherheitstauglichkeit allein von den Herstellern selbst erklärt wird. Erst danach bedarf es im Hinblick auf die Sicherheit der Anwendungen der Vorlage von Zertifikaten; bezüglich des Datenschutzes ist das auch danach nicht vorgesehen. Kugelmann sagt: „Dem Schutz der Gesundheitsdaten, die in den digitalen Anwendungen sowohl in der Krankenversorgung als auch der Pflege verarbeitet werden, muss höchste Priorität beigemessen werden. Allein den eigenen Erklärungen der Hersteller zu vertrauen, darf als Nachweis für die Einhaltung der Anforderungen an den Datenschutz und die Datensicherheit nicht ausreichen. Schon die Zulassung der ersten digitalen Gesundheitsanwendungen hat dies eindrucksvoll gezeigt.“ Kugelmann betont weiter: „Ich appelliere deshalb an den Gesetzgeber, ausschließlich den Einsatz von sicheren und datenschutzgerechten Anwendungen sicherzustellen und dabei die in dem Datenschutzrecht vorhandenen Möglichkeiten der Zertifizierung im besonders sensiblen Gesundheitswesen zu nutzen und dies nicht erst im Jahr 2023, sondern sofort. Datenschutz und IT-Sicherheit dürfen nicht auf die lange Bank geschoben werden.“

In seiner gegenüber der Landesregierung zu dem Gesetzentwurf abgegebenen Stellungnahme fordert Professor Dieter Kugelmann weiter, bei der im Gesetz vorgesehenen Einrichtung eines zentralen Kommunikationsdienstes für das Gesundheitswesen die Vorgaben des Datenschutzes für die Nutzung von E-Mail- und Messaging-Diensten zu beachten und insbesondere die Nutzung privater Endgeräte zur Kommunikation im beruflichen Kontext zu verbieten. Die Einrichtung einer Schweigepflicht für Hersteller von digitalen Gesundheits- und Pflegeanwendungen begrüßte er, wobei sich diese auf alle an der Herstellung und den Betrieb mitwirkenden Personen erstrecken sollte.

Sicherheit / Antiterrordateigesetz

VIII. Bundesverfassungsgericht begrenzt „Data Mining“ zur Terrorismusbekämpfung

Das Bundesverfassungsgericht hat mit Beschluss vom 10. Dezember 2020 eine Regelung des Antiterrordateigesetzes (ATDG) für verfassungswidrig erklärt. Im Fokus stand die Frage, unter welchen Voraussetzungen insbesondere Bundesbehörden wie das Bundeskriminalamt, der Bundesnachrichtendienst und das Bundesamt für Verfassungsschutz auf die Daten der Antiterrordatei zugreifen dürfen.

Dem Grunde nach hält das Bundesverfassungsgericht derartige Möglichkeiten für zulässig. Wie die Richter jedoch betonten,  müssen diese an hohe Eingriffsschwellen gebunden sein. Bei einer Regelung, § 6a Abs. 2 Sa. 1 ATDG, ist dies bisher nicht der Fall, so dass das Bundesverfassungsgericht diese Regelung  für nichtig erklärt hat. Das Urteil  hat Folgen für andere Regelungen der Analyse von personenbezogenen Daten zu Zwecken der Gefahrenabwehr und der Strafverfolgung, die Eingriffe in die informationelle Selbstbestimmung darstellen.

Weitere Informationen: PM des LfDI RLP vom 15.12.2020

Landtag / Corona-Pandemie

IX. Datenschutzsprechstunden von Abgeordneten mit Dieter Kugelmann

Welches Videokonferenz-Programm darf sie mit ihren Schülern verwenden?, fragt eine Lehrerin aus dem Westerwald. Wie lange muss er die Kontakterfassungslisten seiner Kunden aufbewahren?, treibt einen Wirt aus Kaiserlautern um. Worauf muss sie bei der Speicherung der Vereinsmitglieder-Daten achten?, beschäftigt eine Vereinsvorsitzende von der Nahe.

All diese Fragen und noch viele mehr hat der Landesdatenschutzbeauftragte Dieter Kugelmann im vergangenen Jahr online und live beantwortet. In Kooperation mit Landtagsabgeordneten hat er 15 Datenschutz-Sprechstunden in ganz Rheinland-Pfalz veranstaltet: Mal ging es im Schwerpunkt um die Corona-Pandemie, mal um den Schulalltag und mal um das Vereinsleben. In den Videosprechstunden gab Kugelmann ein kurzes einleitendes Statement und dann hieß es: „Feuer frei für alle Datenschutz-Fragen, die Bürgerinnen und Bürgern auf den Nägeln brennen“. Meist eine Stunde lang wurde über Privatsphäre und US-Technologiekonzerne, über die Corona-Warn-App und die Kontakterfassung in Pandemiezeiten, über Homeoffice und Cookies auf Webseiten diskutiert.

Parlamentarierinnen und Parlamentarier der SPD, der CDU, von Bündnis 90 / Die Grünen und der FDP organisierten die Veranstaltungen gemeinsam mit dem LfDI. Die virtuellen Treffen stellen eine gelungene Ergänzung zu dem Tagesgeschäft des LfDI dar, zu dem die Befassung mit Datenpannen und Beschwerden, die Abgabe von Stellungnahmen und Beratungen gegenüber Organisationen gehören. Für Dieter Kugelmann steht fest: „Als Starke des Stimme des Datenschutzes setzen meine Mitarbeiterinnen und Mitarbeiter und ich uns auf allen Ebene für das Recht auf informationelle Selbstbestimmung ein. Dass wir über die Datenschutz-Sprechstunden so viele Bürgerinnen und Bürger erreichen konnten, ist toll. Ich freue mich auf weitere, spannende Veranstaltungen im Jahr 2021.“

Öffentlichkeitsarbeit / Gesundheit

X. LfDI RLP bringt Comic raus

Mit dem wahrscheinlich ersten Comic einer deutschen Datenschutzbehörde informiert der LfDI RLP Bürgerinnen und Bürger. Mitarbeiterinnen und Mitarbeiter der Behörde haben den Kurzcomic "Article-15-Man und die Rechte der Patienten" zu Datenschutz im Gesundheitsbereich und zum Recht eines jeden Patienten auf Auskunft entworfen und umgesetzt.

Es wird szenisch gezeigt, dass Patientinnen und Patienten im Rahmen ihrer Behandlung ein gesetzliches Recht auf eine Kopie ihrer Akte (ihrer "Behandlungsdokumentation") haben. Das Recht leitet sich aus dem Auskunftsanspruch nach Artikel 15 Datenschutz-Grundverordnung ab. Die Kopie ist innerhalb eines Monats nach Antrag kostenlos und bei Bedarf vollständig zur Verfügung zu stellen.

Der Kurzcomic ist hier zu finden.

Podcast / Verbraucherzentrale / Kooperation

XI. Welches digitale Spielzeug kann guten Gewissens verschenkt werden?

Ein Podcast des LfDI und der Verbraucherzentrale Rheinland-Pfalz beschäftigt sich mit digitalem Spielzeug wie Tracking-Uhren und Kameradrohnen. In der Podcast-Folge geben drei Experten Antworten auf Fragen wie: Welches Spielzeug kann man kleinen Kindern guten Gewissens schenken? Welche Gedanken sollten sich Eltern vorab machen, wenn sie ein smartes Spielzeug oder Geräte kaufen wollen? Wie halten es die Hersteller mit dem Datenschutz? Der Podcast ist hier abrufbar. Er erscheint im Rahmen der Podcast-Reihe „Datenfunk“ des LfDI RLP.

Die Experten Maximilian Heitkämper (Verbraucherzentrale Rheinland-Pfalz e.V.), Friedhelm Lorig und Philipp Richter (beide LfDI) untersuchen einzelne digitale Geschenke und zeigen anschaulich, welche Einstellungen vorgenommen werden können und woran es hapert. Es geht unter anderem um Tracking, GPS-Chips und Filmaufnahmen. Die Fachleute zeigen auch auf, mit welchen Tricks die Hersteller arbeiten, um Kinder und Jugendliche zur täglichen Nutzung und zu Nachfolge-Käufen zu verleiten.

Über aktuelle Datenschutz-Themen informiert der LfDI seit Anfang 2020 in dem Podcast-Format "Datenfunk". Bisher sind acht Folgen sowie zwei Sonderfolgen erschienen, unter anderem zu Fake News, zu Social Media und zu Spam.